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Systeme de carte k puces securis6 utilisable comme porte- 

monnaie electronique 



La presente invention concerne les systemes de carte ^ 
puce et notaiament les systemes de paiement 61ectronique 
permettant 1' achat de produits par son possesseur grace a vine 
carte a puce sans faire appel a des transferts de monnaie 
fiduciaire et concerne plus particulierement un systeme de 
carte k puce s6curise servant notamment de porte-monnaie 
electronique . 

Le syst^e de carte bancaire permet d^ja ce genre de 
transaction, mais il est reserve k des montants assez eleves, 
et n^cessite la liaison directe avec un compte bancaire. 

Diff6rents systemes de porte-monnaie electronique (PME) 
ont ete mis au point, qui permettent le rechargement d'une 
certaine somme d' argent et des achats de produits ou services 
d'un montant infer ieur ou 6gal ^ la somme d' argent disponible. 

D'une maniere g§nerale, les porte-monnaie electroniques se 
presentent comme des cartes 4 puce classiques. lis sont 
essentiellement rechargeables . Dans le cas des PME jetables, 
le module Electronique est essentiellement constitu6 par une 
memoire simple dont le contenu, repr§sentant le solde 
disponible, est d6cr§ment6 a chaque utilisation du montant de 
la transaction effectuee et ceci jusqu'a epuisement du solde. 
Ce type de porte-monnaie electronique fonctionne exactement 
comme \ine carte t§l§phonique prepay6e. Le PME rechargeable a 
une structure plus complexe puisqu'il comprend une memoire 
reinscriptible dans laquelle est d§fini un fichier solde dont 
le contenu est, comme pour le PME jetable, decremente a chaque 
transaction, ou, au contraire, incr§mente du montant de la 
somme recharg^e, toutes ces operations s'effectuant sous le 
contrSle d'un micro-processeur et avec lan degre de 
s§curisation inexistant dans les PME jetables. 
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Le systfeme de gestion des EME rectiargeables necessite un 
systeme d' acquisition et de rechargement et un syst^me 
permettant le contr61e de la circulation de la monnaie 
61ectronique et done une nouvelle architecture par rapport au 
systeme CB deja existant. En effet, le syst^me de gestion du 
PME nfecessite un systeme contrdlant k la fois 1' Emission 4 
distance et 1' acquisition de monnaie electronique . Tous ces 
systemes de PME sont recharges via des homes et presentent un 
niveau de s^curite inferieur k une puce-argent materielle. 

Parmi les syst^mes de porte-monnaie Electronique connus a 
ce jour, le systfeme d§crit dans la demande de brevet europEen 
EP 90400280.5 est un mfecanisme souple dans lequel la carte a 
puces a la disposition de I'utilisateur comprend une puce 
permanente et une puce amovible dont la memoire contient le 
montant du credit autoris6, ce credit 6tant d6cr6ment6 a 
chaque transaction, la carte §tant logee dans un boitier pr6vu 
^ cet effet. 

Toutefois, du fait que la m§moire de la puce amovible 
peut gtre modifi^e (elle I'est k chaque transaction), elle 
presente par ses acc^s multiple a la m&aoire, une fragility 
securitaire plus grande que celle offerte par une puce k 
lecture unique. 

En outre, un systeme dans lequel la puce amovible n^est 
pas soumise a un organisme central de contr61e fait courir le 
risque d'une variation incontrolable de la masse monetaire par 
creation de monnaie Electronique. 

C'est pourquoi le but de 1' invention est de fournir un 
syst^e de carte k puces pouvant servir de porte-monnaie 
Electronique du type comportant un module permanent et un 
module amovible dans lequel il n'est pas possible de modifier 
le laontant de crEdit contenu dans le module amovible qui est 
par ailleurs sous le contrSle de la banque centrale. 

L' invention conceme done un syst^e de carte k puce 
sEcurisE comprenant essentiellement une carte sur laquelle est 
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monte un premier module constitu§ d'un microprocesseur et 
d'une m6moire programmable s6curis§e, et un deuxi^e module 
jetable comportant essentiellement une memoire a lecture 
unique contenant un montant de credit predetermine a la 
disposition de 1 'utilisateur, la memoire a lecture unique 
etant pourvue de contacts externes destines k cooperer avec 
des contacts correspondants d'un boltier dans lequel la carte 
a ete inseree- Le boltier comprend des mo yens de communication 
pour communiquer avec un terminal exterieur destine k 
enregistrer une transaction et des moyens de connexion pour 
connecter les premier et deuxi^e modules entre eux de maniere 
k decr6menter la memoire prograiomable securisee du montant de 
la transaction. La memoire a lecture unique du deuxieme module 
contient, outre le montant de credit predetermine, un numero 
de serie unique attribue par la banque centrale 4 I'instar 
d'un billet de banque, le montant de credit et le numero 
imique etant enregistrfes dans la memoire programmable 
securisfee par les moyens de communication lorsque la carte est 
ins6ree pour la premiere fois dans le boitier. 

Les buts, objets et caracteristiques de 1' invention 
apparaltront plus clairement k la lecture de la description qui 
suit faite en reference aux dessins dans lesquels : 

- la figure 1 represente schematiquement la carte bi-puce 
selon 1' invention munie de la puce permanente et de la puce 
amovible, 

- la figure 2 represente schematiquement un mode de 
realisation pour 1' insertion de la puce amovible dans la carte 
bi-puce, 

- la figure 3 represente schematiquement tone variante de 
realisation de la carte bi~puce selon 1' invention, 

- la figure 4 repr§sente schematiquement un micro-boltier 
dans lequel line carte bi-puce selon 1' invention a 6te ins§r6e, 

- la figure 5 est xm bloc-diagramme du syst^e de paiement 
d'une transaction a I'aide du micro-boltier dans lequel une 
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carte bi-puce selon 1' invention a fet6 insferfee illustrfe sur la 
figure 4, et 

- la figure 6 est vn organigramme representant les etapes 
d'une transaction effectuee avec le systeme de carte bi-puce 
5 selon 1' invention. 

La carte a puces selon 1' invention aussi appel6e carte bi- 
puce par la suite est representee sur la figure 1. La carte 1 
comprend une puce permanente programmable 2 et une puce 
amovible jetable renouvelable qui correspond a un credit 
10 predetermine (par ex 100 euros) . 

De fagon generale, la puce amovible est placfee dans un 
6videment de la carte 1 par enclipsage. Selon le mode de 
realisation represents sur la figure 2, un evidement permet 
1' introduction de la carte par glissement grtce a des guides 
15 males 20 realises sur la puce et femelles 20' realises sur la 
carte k puces 1. La largeur externe de 1' evidement B est 
legerement inferieure h la largeur de 1' evidement interne A, 
ce qui permet k la carte 1 de maintenir fermement la puce 
amovible par pression elastique. 
20 Dans un mode de realisation represente sur la figure 3 qui 

permet la lecture par contact de cette carte bi-puce par tout 
lecteur deja implante, la puce amovible 3 est positionnee 
selon une symetrie centrale par rapport a la puce permanente 2 
afin de permettre la lecture successive d'une puce puis de 
25 1' autre, par introduction, retrait, rotation, et 
reintroduction de la carte k puces 1 dans ledit lecteur qui se 
substitue ainsi au micro-boltier selon 1' invention pour 
permettre la communication entre les deux puces 2 et 3. 

En reference k la figure 4, la carte bi-puce s'insere dans 
30 un micro-boltier 6 disposant d'un ecran 9 et d'un clavier 10 
qui coii«)orte les touches « valider », « activer », « demande 
d' autorisation » et « transfert », ainsi que de moyens de 
communication 11 utilisant la radio frequence, I'infrarouge ou 
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tout autre moyen pour commioniquer avec des moyens de connexion 
^loignes comme d§crit ci-dessous. 

La puce amovible comprend essentiellement une m&moire k 
lecture unique telle q'une EPROM qui contient un montant de 
credit predetermine et un n\jmero de serie unique. Elle est 
preferentiellement emise directement par la Banque Centrale, 
qui conserve ainsi son monopole d' emission de la monnaie, ou a 
d§faut par une banque qui consigne une sorome equivalente au 
montant des puces Praises en cours d' utilisation, sous le 
contrdle de la banque centrale. Cette puce est en quelque 
sorte \m veritable billet de banque numferique qui, en plus, a 
I'avantage d' §tre directement divisible, en gardant la trace 
de ces divisions. On I'obtient sans difficult^ aupres des 
banques, a la Poste et dans tous lieux habilites a cet effet. 
A noter que, sur chaque puce amovible est grave ou imprim6 
lisiblement tout ou partie du n\am6ro de s6rie de la puce, 
cette inscription pouvant 6galement figurer sous forme de code 
^ barres- 

La puce permanente 2 est fix6e sur la carte de preference 
selon la norme ISO. Cette puce contient essentiellement un 
microprocesseur et un ensemble de m6moires hautement 
securisees et prograirmables {ROM, PROM et une m&aoire 
r6inscriptible EEPROM) pour m6moriser un code d' identification 
du possesseur, differents parametres tels que profil, donn§es 
cat^gorielles utiles au porteur (benefice de tar if s r§duits, 
autorisations d' acces,...) , . Les memoires mortes memorisent les 
logiciels de gestion des transactions et un ensemble 
d'algorithmes utiles pour permettre un niveau de securite 
optimum. Lesdites m&aoires ' mortes memorisent egalement 
d'autres algorithmes permettant d'autres fonctions decrites 
plus loin. La m&aoire EEPROM est partitionnee, chaque 
partition etant d§di6e ^ un usage precis. Les acc6s aux 
diff6rentes partitions sont prot§g6s par des codes 
confidentiels et /ou par des cles de cryptage, notamment 
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I'acces ^ et la gestion de la mfemoire (5) lors de toute 
transaction. La possibility de disposer de plusieurs 
partitions permet a plusieurs prestataires tels que grande 
distribution, compagnie aerienne, d' adherer au systdme et de 
charger des applications sp6cifiques et de pratiquer des 
politiques « marketing » ciblees « data mining ». 

Lorsque la carte 1 pourvue d'une nouvelle puce amovible 
est inseree dans le micro-boltier 6 pour la premiere fois, des 
moyens d' interconnexion contenus dans le micro-boitier 
permettent la connexion entre la puce permanente et la puce 
amovible. Le microprocesseur de la puce permanente provoque 
alors le trans fert du montant pr§d6termin§ et du num^ro de 
serie unique contenus dans la memoire ^ lecture unique de la 
puce amovible vers la m§moire securis6e de la puce permanente 
grace ^ des moyens d' interconnexion (non montr§s) dont est 
pourvu le micro-boitier 6. 

Une fois que la somme d' argent int§gr6e dans la puce 
amovible a ete transf^r^e dans la memoire securisSe de la puce 
permanente, la puce amovible n'a plus aucune valeur et ne peut 
plus etre utilis§e par son possesseur. N§anmoins, le 
microprocesseur verifiera s§quentiellement et avant toute 
transaction que la puce amovible est toujours presente dans la 
carte bi-puce a des fins de securite. 

L' electronique du micro-boltier 6 permet d'une part de 
faire communiquer les puces 2 et 3 de la carte bi-puce entre 
elles comme on vient de le voir, mais egalement de gerer les 
echanges de donnfees entre les moyens de communication (11) et 
des moyens de connexion ext^rieurs (12) . Dans tous les cas, 
c'est le microprocesseur de la puce permanente qui controle 
les operations d'6change de donnees via le micro-boltier 6 
entre la carte bi-puce et les moyens de connexion extferieurs. 

Les autres fonctions du micro-boitier sont d' assurer 
1' alimentation 61ectrique de la carte bi-puce qui est pourvue 
de piles, et de permettre la lecture des puces 2 et 3, 
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notamment ^ des fins de controle, d' information ou de 
securisation des transactions. 

L'echange de donnees entre le micro-boltier et une 
pluralite de moyens de connexion 12 est maintenant d6crit en 
5 reference a la figure 5. Dans le cas le plus general, le moyen 
de connexion utilise sera une borne 12' . Celle-ci est pourvue 
des moyens de communication sans contact permettant de 
coop6rer avec les moyens de commiinication du micro-boltier 6. 
Elle est egalement pourvue d'un lecteur de cartes a puce 16 
10 permettant aussi les echanges avec contact. La borne 12' est 
situee chez tout commergant/ prestataire de services, bus, 
parking, et regoit une succession de paiements et autre 

donnees. Les donn§e fechangees entre le micro-boitier (6) et la 
borne (12' ) sont de quatre natures : 
15 (a) les donn§es de contrdle des ^changes : reconnaissance 

mutuelle, anticollision si plusieurs micro-boltiers femettent 
en meme temps, cryptage, etc.. Ces donnees ont pour seul but 
de fiabiliser les echanges entre les micro-boltiers 6 et les 
bornes 12', 

20 (b) les donnees repr§sentant le montant de chaque 

transaction, lesdits montants 6tant memorises dans une memoire 
securisee de la borne 12', 

(c) les donnees permettant la gestion des flxix et la 
security : suivi de la masse d' argent en circulation et 

25 donnees de s^curite centre la fraude, 

(d) les donnees coitunerciales ou diverses : campagne de 
promotion pouvant #tre li6e aux caracteristiques personnelles 
de I'utilisateur memorisees dans une memoire de la puce 
permanent, politique d'incitation et/ou de f idelisation, par 

30 exemple un pourcentage de certaines d§penses, achat ou 
service, peut Stre m&Qoris§ dans un espace memoire d6di6 de la 
puce permanente et devenir disponible pour I'utilisateur sous 
certaines conditions. 
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Rfeguli^rement, par example chaque nuit, la borne 12' se 
connecte a un syst&ne informatique centralise 14 pour 
transmettre les donnees (b) , (c) et dventuellement (d) 
d^finies plus haut, lesquelles data, m6morisees dans une 
memoire de masse adaptee, vont permettre de determiner le 
montant des paiements de la journee et 1' ensemble des donn§es 
de securite et de controle. Le systeme informatique realise 
ensuite une procedure qui a pour effet de traiter les donnees 
(b) afin de porter au credit du compte associe ^ la borne 12' 
la montant des paiements de la journee, et de realiser 
1' ensemble des controles, verifications et statistiques utiles 
en trait ant les donnee (c) . 

Le lecteur de carte d. puce 16 de la borne 12' permet en 
cas de def alliance du micro-boltier ou de piles usees, 
d' assurer les echanges par contact en introduisant la carte k 
puce 1 dans le lecteur 16. Selon un autre mode de realisation 
de la borne 12', celle-ci pent §tre portative, k I'instar des 
terminaux de paiement electronique existants. 

Un deuxieme type de mo yens de connexion 12" consiste en 
des bornes specifiques dispos^es en des lie\ix specialises, par 
exemple dans les banques. Ces bornes se distinguent des 
precedentes car elles sont connectees en permanence au systeme 
informatique centralise 14. Les bornes specifiques 12" 
permettent k 1' utilisateur d'effectuer differentes 
transactions bancaires. Ces transactions ont ete prealablement 
introduites via le clavier 10 du micro-boitier 6 et 
enregistrees dans la memoire de la puce permanente 2. Le 
microprocesseur de la puce permanente demande k 1' utilisateur 
1' introduction d'xm code confidentiel preetabli avant 
d' enregistrer les instructions definissant les transactions 
dans une memoire de la puce 2. L' utilisateur peut alors 
transmettre les transactions preenregis trees (ou demandes de 
renseignements) grSce a la liaison sans contact autoris6e par 
le micro-boltier 6 ou en introduisant la carte 1 dans \m 
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lecteur 16' de la borne 12". La borne 12" peut egalement 
transmettre vers le micro-boitier 6 toute donn6e utile qui 
sera m§moris§e dans la mfemoire de la puce permanente 2. 

Un troisieme type de moyen de connexion ext6rieur consiste 
5 en un ordinateur personnel 12"' reli6 au reseau Internet, au 
reseau commute, ou autres. la puce permanente 2 de la carte k 
puces memorise dans sa memoire EPROM des logiciels et un ou 
plusieurs algorithmes capables de delivrer un numero 
d' autorisation associe k une transaction parfaitement definie. 
10 Ces logiciels et algorithmes sont egalement memorises dans le 
site marchand 21 du fournisseur de marchandises ou de services 
distants operant par le reseau Internet, L'exemple suivant 
permettra de mieux comprendre 

Monsieur Pierre Martin sovthaite acheter un objet via un 
15 site marchand sur le reseau Internet. II se connecte sur le 

site choisi qui lui propose une liste de produits avec 
Jeurs prix respectifs. Monsieur Martin sSlectionne le ou 
les articles de son choix. Le site marchand 21 affiche 
alors la liste des articles choisis et le prix a payer. Si 
20 Monsieur Martin est d'accord, H confirme sa commande. Le 

site marchand J 'invite alors it donner ses coordonn^es (nom, 
prenom, adresse) et le mode de r^glement choisi. 

Monsieur Martin disposant du micro-boltier 6 dans lequel 
est insSree sa carte bi-puce personnelle selon 1^ Invention 
25 doit alors introduire via le clavier du micro-boltier les 

parametres de 1'' achat en cours et notamment le montant k 
payer et presser sur la touche : « Demande 
d' autorisation ». 

L'algorithme memorise dans la memoire EPROM de la puce 
30 permanente prend en consideration tout ou partie des 

parametres suivants: nomr pr4nomr adresse, date, montant a 
payer, numero de la puce argent en cours. Si le 
microprocesseur determine que la transaction est possible 
(credit suffisant, conditions d'Sge, ...), il determine 
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grace k 1' algorithme un nwa^xo autorisation sp6cifique k 
la transaction en cours. Le nvaaSro de serie de la puce 
amovlble et le nvaaSro d'^autorisation qui vient d'etre 
calculi s'affichent alors sur I'ecran 9 du laicro-boltier. 
5 Une fois ces elements affichSsr le montant de la 

transaction est iimediatement debitee dans la memoire 
securisSe de la puce permanente. 

Monsieur Martin communique alors au site marchand via 
le clavier de son ordinateur 12''' les donnees affich4es 
10 sur 1' Scran. L'informatique du site marchand 21 disposant 

des m§mes algoritbmesr determine a son tour un numero 
d'autorisation et valide la coherence avec celui qui vient 
d'etre communique par I'acheteur, en fonction de quoi la 
commande est validSe ou non, et la transaction financidre 
15 enregistree ou non. 

Une procedure analogue peut 6tre realis6e a partir de tout 
telephone 12" " . Dans cette configuration, 1' acheteur peut 
communiquer avec \in robot par reconnaissance et synthese de la 
parole ou via un op6rateur humain. La validation de la 
20 transaction est alors r6alis6e par introduction sur la clavier 
tel6phonique utilisant les frequence vocales (DTMF) , des 
elements definis plus haut (numero de serie de la puce 
amovible et n\amero de 1' autorisation affiches sur I'ecran 9 du 
micro-boltier 6. 

25 Lors de la premiere operation de paiement utilisant le 

credit d'une nouvelle puce amovible 3, le numero de serie de 
la puce est automatiquement transmis vers la borne 12 avec un 
code « nouvelle puce n** x activee », en plus du montant de la 
transaction. Cette information est ensuite retransmise vers 

30 le syst^e informatique central 14 qui g^re le suivi des 
puces lors de la t616-collecte des bomes des commergcints . 

De la m§me fagon, chaque fois que la m&noire securis6e de 
la puce permanente finit de consommer le montant de credit 
regu d'une puce amovible lors d'une operation de paiement/ le 
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nuitiero de serie de la puce amovible en fin de vie est transmis 
vers la borne 12 avec un code « puce n** y epuis6e » en plus 
du montant de la transaction, cette information remonte vers 
le systeme informatique central 14 comme il a et6 dit plus 
haut . 

Ainsi I'organisme gestionnaire peut connaltre avec 
precision et en temps quasi reel : 

1/ 1' ensemble des puces amovibles 6mises et distributes et 
non initialis6es (tventuellement thesauristes) , 

2 / 1' ensemble des puces amovibles emises et en cours 
d' utilisation/ 

3 / 1' ensemble des puces amovibles §puisees. 

Ces trois informations cl§s permettent de suivre avec 
precision les voliomes de monnaie §lectronique &ais, en cours, 
thfesaurises et tpuises. Toute tentative de creation de fausse 
monnaie tlectronique est done immfediatement d6tect§e. Par 
consequent, ce syst^e pr^sente une tr^s forte dissuasion a la 
fraude. Ainsi, un lot de puces vol6es peut etre mis en 
opposition immediate par transmission aux bomes { 12, 12',... 
) d'une liste noire des num§ros de s§rie des puces volees. 

Ce systeme permet done aussi a la banque centrale de 
connaltre parfaitement 1' 6tat de sa masse monetaire et/ou a la 
banque emettrice de gerer au mieux les sommes a consigner en 
contrepartie des puces qu'elle a 6mises. 

Une variante de la procedure prfecedente consiste ^ 
communiquer syst6matiquement, k chaque transaction, le numero 
de s§rie de la puce amovible, ce qui permet un suivi plus fin, 
mais en contrepartie une gestion de donnees plus lourde. 

Les transactions 

Chaque transaction entre le micro-boltier du client et la 
« borne » du commergant se d§roule en 3 phases : 
1. Le commergant tape le prix sur son clavier. Ce prix 
s'inscrit simultan6ment sur le micro-boltier du client. 
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2 . Le client donne son accord en appuyant sur la touche 
« Validation » de son micro-boitier . 

3. La memoire securisee de la puce permanente 2 qui a ete 
prealablement charges par une puce amovible 3 est alors 
debitee du montant de la transaction et la m^moire du 
coromergant est creditee du meme montant. 

Comme il a et§ dit plus haut, la carte a puces 1 peut 
effectuer les transactions a defaut de micro-boltier et avec 
contact. Dans ce cas, le positionnement de la puce permanente 
est aux normes ISO, ce qui permet a la tr^s grande majorite de 
lecteurs existants de traiter les transactions sans 
modification du materiel, mais k I'aide d'lan logiciel 
d' application qui peut §tre t616-charg6 au cours d'une 
connexion avec le syst§me informatique centralist 14. 
Dans le cas d'une lecture avec contact, 

Les difftrentes etapes de la transaction sont d§crites dans 
1' or gani gramme (repr§sent§ sur la figure 6 

1/ Activation du micro-boltier par une pression sur la 
touche « Activer » du micro-boltier 6. 

2/ Contrdle de la presence de la puce amovible par le 
microprocesseur de la puce permanente, et verification que le 
numero de serle de cette derniere correspond h celui qui a 
permis le rechargement de la memoire. Si le contr61e n'est pas 
positif, un message d'erreur s'affiche a I'tcran 9 et 
1' electron! que est inactivee. 

3/ Si le contrdle est positif, le microprocesseur memorise 
les parametres du contrdle et notamment I'heure et le date 
dudit contrdle et donne une autorisation temporaire de 
transaction. 

Si le paiement est realist sans contact : 

5/ Le commercant introduit le prix k payer sur le clavier 
d'une borne 12. 

6/ La borne emet et echange des donn^es a) avec le micro- 
boltier dans le but d'une reconnaissance mutuelle. 
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7/ Le montant de la transaction est emis de la borne 12 
vers le micro-boltier 6, 

8/ Ledit montant s^affiche a I'ecran du micro-boltier 6, 

9/ Si le possesseur ne presse pas la touche « Valider »/ la 
transaction est abandonnee. Si, comme dans le cas general, il 
presse sur la touche « valider », alors, 

10/ Le microprocesseur analyse la faisabilite de 
1' operation : 

- credit suffisant ou credit relais conforme, 

- autorisation temper aire de transaction (etape 3) 
valide, 

- analyse des param^tres de profil memorises dans la 
m6moire permanente et modifications eventuelles du 
montant de la transaction ou invalidation (reduction, 
age minimum. . - ) . 

11/ Si l'6tape 10 est satisfaisante, le micro-boltier et la 
borne echangent les donnfees b) c) d) . A defaut d^ etape 10 
satisfaisante, la transaction est abandonnee. 

12/ la transaction est realisee : 

- debit de la puce amovible de I'acheteur, 

- credit du meme montant de la memoire de la borne du 
coimnergant, 

- memorisation des donnees c) et d) dans une memoire de 
la borne du commercant 

- memorisation eventuelle de donnees d) dans une memoire 
de la puce permanente de la carte k puces. 

Si le palement est realise avec contact : 

5'/ le commergant introduit le prix a payer sur le clavier 
de la borne 12, 

6'/ le client possesseur de la carte ^ puces introduit 
cette derniere dans le lecteur de carte attache a la borne 12, 

7'/ le microprocesseur analyse la validity de 
1' autorisation temporaire (etape3) . Si la validation est 
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satisfaisante, on revient k I'fetape 10, sinon la transaction 
est abandonnee. 

Cinq categories d'acteurs sont concern6es dans una 
transaction par la mise en oeuvre de 1' invention : 

-L'emetteur de cartes » fournit a la population concernee : 
les micro-boltiers 

les cartes pourvues de leur seule puce permanente 
-L'emetteur de puces amovible : la banque centrale ou toute 

banque habilitee 
-L'utilisateur, possesseur du micro-bo it ier. 

-L'utilisateur de transactions : les commerQants ou 
prestataires equip6s de moyens de connexion (12', 12' S 12"', 
12"") 

-Le collecteur : un ou plusieurs etablissements bancaires ou 
financiers locaux, appele(s) a cr§diter les commergants 
quotidiennement . 

Selon un mode de realisation particulier, deux micro- 
boltiers, un donneur et un receveur, pourvus de leur carte h 
puces, peuvent fegalement 6changer entre eux de faibles sommes 
d' argent. Pour effectuer les echanges de donnees permettant le 
transfert d' argent de I'un vers 1' autre, les deux boltiers 
doivent etre a proximite et se faire face si le moyen de 
communication utilise est 1' infrarouge. Une telle transaction 
doit repondre aux criteres de securite, d'anonymat et de 
responsabilisation du receveur pour dissuader la fraude- 

En supposant que le premier micro-boltier doive transferer 
une somme de 3 € vers le second, le possesseur du micro- 
boltier donneur introduit le montant du transfert sur le 
clavier dudit micro-boitier, et presse la touche transfert. Le 
possesseur du micro-boltier receveur d proximite doit alors 
presser sur la touche « activer ». 

- Le premier micro-boltier debite 3 € de la m^moire 
securisee de la puce permanente logee dans le micro- 
boltier, et transmet ce montant ainsi que le n\am§ro de 
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s6rie de la puce amovible qui a permis de crediter la 
mfemoire s6curis6e vers le micro-boltier receveur qui est 
en 6tat d'attente . 
- Le montant de 3 € s'affiche i I'ecran du micro-boltier 
5 receveur puis est credite dans une memoire securisee de 

la puce peritianente de la carte a puces logee dans le 
boltier receveur, cette memoire specifique 6tant d6diee 
aux sommes regues d'un autre micro-boltier selon la 
procedure qui vient d' 6tre decrite. De plus, le nim^ro de 
10 s6rie de la puce amovible log§e dans le micro-boltier 

femetteur est §galement memorise dans cette meme memoire, 
lequel numfero de serie est associ§ ^ la transaction qui 
vient d'etre r6alis§e. 
Pour des raison de s§curite, cette procedure ne pent §tre 
15 r§it6r§e qu'un faible nombre de fois (3 a 5 par exemple) et ne 
peut porter que sur de faibles montants. Aux premiers 
paiements que va effectuer le possesseur de la carte it puces 
logee dans le micro-boltier qui a regu une somme d' argent 
venant d'xin autre carte a puces via les ^changes entre deux 
20 micro-boltier s, c'est le {ou les) montant m§moris6 dans la 
memoire permanente qui va etre depens6 en priorite. 

La memoire permanente qui permet de memoriser des sommes 
d' argent venant d'une autre carte a puces via un micro- 
boltier, peut enregistrer plusieurs transactions tel que 
25 d6crit plus haut. La memoire permanente enregistre les 
param^tres propres k chaque transaction (numero de s6rie de la 
puce amovible du donneur et montant de la somme regue, et pour 
responsabiliser le receveur, son code d' identification) , 
lesquels paramdtres seront transmis au syst&ae informatique 14 
30 pour toute operation de paiement, ceci aussi longtemps que le 
montant enregistre dans la m&aoire permanente ne sera pas 
§puis§e. 

De nombreuses variantes de 1' invention peuvent dtre 
envisagees. Ainsi, la puce amovible peut ^tre representative 
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d'un pret/ la puce permanente memorisant alors les modalites 
de gestion du pr§t dont elle genere automat iquement les 
remboursements, transmis lors d'un connexion avec un moyen de 
connexion 12. 

A noter que, selon une variante, si le credit disponible 
memorise dans la memoire permanente s'avere insuffisant pour 
effectuer un paiement, on peut envisager que le 
microprocesseur precede neanmoins a ce paiement dans la limite 
d'un credit relais autoris6 dont le montant predefini est 
memorise dans la memoire permanente, ce credit relais etant 
rembours6 des la mise en place d'une nouvelle puce amovible. 

Enfin, on imagine tres bien que la carte a puces integre, 
outre I'evidement destine a la puce amovible, un deuxieme, 
voire un troisieme §videment destines a recevoir d' autres 
puces contenant par exemple des valeurs-argent sp6cifiques, 
type tickets restaurant, des jeux, des paramdtres d'acc^s ^ 
des lieux securis6s, etc.. Dans cette hypothese, le micro- 
boltier doit §tre pourvu des connecteurs correspondants . 

Le systeme qui vient d'etre decrit est un porte-monnaie 
elect ronique a vocation universelle, qui concerne cent pour 
cent d'une population, bancarisee ou non, sans obligation de 
disposer d'une carte bancaire pour le rechargement, ni meme 
d'§tre titulaire d'un compte bancaire. II peut realiser toutes 
les operations et presente tous les avantages permis par la 
monnaie fiduciaire (paiement anonyme, thesaurisation possible) 
tout en apportant aux institutions bancaires des avantages 
importants tels que 1' emission de monnaie centralisee et 
s§curisee, et le suivi des flux automatise. 

Une autre application des concepts de 1' invention consiste 
k lutter centre la contrefagon. Pour ce faire, une puce 
d' authentif ication est solidarisee k tout objet de luxe et 

onereux (montre, bagagerie ) selon tout moyen connu, la puce 

d' authentif ication pouvant §tre d^solidarisee de 1' objet de 
luxe par le vendeur lors de la vente. 
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La puce d' autlientif ication est en fait une puce amovible 
qui, lors d'une verification, doit §tre inser6e dans un 
evidement de la carte k puces 2. Comme prec6deinmentf la puce 
est exploit ee via un micro-bolt ier 6, grace a au mo ins un 

5 algorithme memorise dans la puce permanente. Elle integre deux 
zones memoire. La premiere zone memorise un code 
d' identification et un numero de serie unique de 1' article, 
Exemple : « bagage modele x couleur y n"" de serie z ». Le 
vendeur de I'^objet de luxe dispose d'un appareil comprenant 

10 des moyens capables d'inscrire/ une seule fois et au moment de 
la vente, dans la seconde zone de memoire les parametres de la 
vente (date, nom du vendeur, montant, conditions et preuve de 
la garantie, eventuellement nom du futur possesseur ) . • • 

L'authent if ication de 1' article vendu est realisee apres 

15 introduction de la carte a puces munie de la puce 
d^ authentif ication dans un micro-boltier • Le microprocesseur 
de la puce permanente, grace k au mo ins un algorithme memorise 
dans sa m§moire EPROM, est capable de lire les informations 
contenues dans les m§moires de la puce et d'en verifier la 

20 coherence • 
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1. Systeme de carte a puces securis6 comprenant line carte bi- 
puce (1) comportant une premiere puce (2) constituee 
essentiellement d'un microprocesseur et d'une memoire 
programmable securisee dite puce permanente et une deuxieme 
puce (3) amovible incluant essentiellement une memoire a 
lecture unique contenant un montant de credit predetermine a 
la disposition de I'utilisateur, et un micro-boltier (6) 
adapte pour y inserer ladite carte bi-puce, ledit micro- 
boltier comprenant des moyens de communication (11) pour 
communiquer avec une unit6 de transaction exterieure, 
notamment rnie borne exterieure (12' , 12' S 12'", 12"") 
destinee ^ enregistrer une transaction et des moyens 
d' interconnexion pour connecter lesdites premiere et 
deuxieme puces entre elles de maniere a dfecrementer ladite 
mfemoire programmable s6curisee du montant de la transaction 
eff ectufee; 

ledit systdme 6tant caracterise en ce que ladite 
memoire a lecture unique de la puce amovible contient, outre 
ledit montant de credit predetermine, un nxamfero de s^rie 
unique attribue par la banque centrale h I'instar d'un 
billet de banque^ ledit montant de credit et ledit numero 
unique etant enregistres dans ladite memoire programmable 
securisee par lesdits moyens d' interconnexion lorsque ladite 
carte bi-puce est inseree pour la premiere fois dans ledit 
micro-boitier . 

2. Systeme selon la revendication 1, dans lequel ledit niomero 
de serie unique est communique avec un code du type 
« nouvelle puce activee » a ladite borne extferieure (12' , 
12"/ 12'''/ 12'"') par les moyens de communication (11) 
dudit micro-boltier (6) k 1' occasion de la premiere 
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transaction intervenant apres la mise en place d'une 
nouvelle puce amovible. 

3. Systeme selon la revendication 2, dans lequel ledit numero 
de serie de ladite puce amovible (3) est transmis vers 
ladite borne exterieure (12' , 12'', 12"', 12"") avec un 
code du type « puce epuisee » lorsque le montant de credit 
predetermine enregistre dans ladite memoire programmable 
securisee a ete epuise. 

4. Systeme selon la revendication 3, comprenant en outre un 
systeme informatique centralise (14) connects k ladite borne 
exterieure (12' , 12", 12"', 12'"'), cette derni^re 
transmettant audit syst&ae informatique centralist le code 
du type « nouvelle puce activ6e » a 1' occasion de la 
premiere transaction intervenant apr^s la mise en place 
d'une nouvelle puce amovible, at le code du type « puce 
epuis§e » lorsque le montant de credit predetermine a §te 
epuis6, lesdites informations permettant audit systeme 
centralise de suivre et de gerer les flux monStaires. 

5. Systeme selon I'une des revendications 1 a 4, dans lequel 
ladite borne exterieure est un ordinateur personnel (12"') 
relie par le reseau Internet a un site marchand (21) de 
maniere a permettre a I'^utilisateur dudit ordinateur 
personnel de pouvoir effectuer des transactions securisees 
avec ledit site marchand en utilisant ledit montant de 
credit • 

6. Systeme selon I'une des revendications 1^4, dans lequel 
ladite borne exterieure est un telephone (12"") relie par 
le r6seau telephonique commute a un site marchand (21) de 
maniere k peinaettre ^ I'utilisateur dudit t61§phone de 
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pouvoir effectuer des transactions sfecurisfees avec ledit 
site marchand en utilisant ledit montant de credit. 

7. Systeme selon la revendication 5 ou 6, dans lequel le 
5 microprocesseur de ladite puce permanente (2) utilise au 
moins un algorithiae pour determiner un numero d' autorisation 
specif ique a une transaction en fonction de differents 
parametres tels que les coordonnees de I'acheteur, le 
montant de la transaction, le numero de serie de la puce 
10 amovible . 



8. Systdme selon la revendication 1, dans lequel ledit systeme 
marchand (21) dispose du meme algorithme que celui dudit 
microprocesseur de la puce permanente (2) de mani^re a 
15 determiner un numero d' autorisation peirmettant de verifier 
la coherence avec celui qui a ete communique par ladite 
carte (1) • 



9. Systeme selon la revendication 8, dans lequel* la validation 
20 de la transaction est realisee par introduction au moyen du 
clavier dudit ordinateur personnel (12^'') ou dudit 
telephone (12"") du numero de serie de ladite puce 
amovible (3) et d'un numero d' autorisation calcule par le 
microprocesseur de ladite puce permanente (2), lesdits 
25 num^ros 6tant affiches sur I'ecran (9) dudit micro-boitier 
(6) . 



10, Systeme selon I'une des revendications 1^9, dans lequel 
le microprocesseur de ladite puce permanente (2) verifie 
30 secjuentiellement et avant toute transaction que ladite puce 
amovible (3) est tou jours presente dans ladite carte bi-puce 
(1) . 
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11. Systfeme selon I'une des revendications 1 a 10, dans lequel 
ladite borne (12' , 12", 12"', 12"") int^gre un lecteur 
de carte a puce (16, 16'), ce qui permet d' assurer la 
transaction par contact en introduisant la carte k puces (1) 

5 dans ledit lecteur en cas de defaillance dudit micro- 

boltier . 

12. Syst^me selon la revendication 11, dans lequel ladite puce 
amovible (3) est positionn6e selon une symetrie centrale par 

10 rapport a ladite puce penaanente (2) afin de permettre la 
lecture successive d'une puce puis de 1' autre, par 
introduction, re trait, rotation, et reintroduction de la 
carte a puces dans ledit lecteur (16, 16') . 

15 13. Systeme selon la revendication 1, dans lequel ladite unite 
exterieure est un second micro-boltier dans lequel est 
ins§r6e une seconde carte bi-puce^ la transaction consistant 
a debiter le montant de credit de la m^moire s6curisee de la 
puce permanente de la carte ins6ree dans le premier micro- 

20 boltier et a transmettre ledit montant ainsi que le numero 
de serie de la puce amovible vers le second micro-boitier, 
ce dernier creditant ledit montant dans la memoire securisee 
de la puce permanente de ladite seconde carte et 
enregistrant le niamero de serie de la puce amovible de 

25 ladite preiaiere carte. 
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